UCloud-201709-005:Spring Data REST和AMQP服务器远程代码执行漏洞安全预警 | U刻
  • UCloud-201709-005:Spring Data REST和AMQP服务器远程代码执行漏洞安全预警

    栏目:安全资讯
    尊敬的UCloud用户:

    近日,spring被爆出存在两个远程命令执行高危漏洞,危害严重。请及时检查您所使用的spring是否受影响,并采取安全防御措施。

    影响范围
    1、CVE-2017-8046:网站使用以下版本,且使用Spring Data REST提供REST Web服务
    · Spring Data REST versions < 2.5.12 2.6.7 3.0 RC3
    · Spring Boot version < 2.0.0M4
    · Spring Data release trains < Kay-RC3
    2、CVE-2017-8045:网站使用以下版本,且使用Spring AMQP服务

    · Spring AMQP versions  < 1.7.4, 1.6.11, 1.5.7

    修复方案
    升级到官方已经发布的最新版本:
    · Spring Data REST 2.5.12, 2.6.7, 3.0 RC3
    · Spring Boot 2.0.0.M4
    · Spring Data release train Kay-RC3

    · Spring AMQP: 2.0.0, 1.7.4, 1.6.11, 1.5.7

    漏洞详情
    CVE-2017-8046:Spring-data-rest服务器在处理PATCH请求时存在一个远程代码执行漏洞。攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,提交的JSON数据中存在SPEL表达式可以导致远程代码执行 。

    CVE-2017-8045:Spring AMQP服务器由于在org.springframework.amqp.core.Message被不安全的反序列化为一个string,从而导致远程代码执行。

    参考链接